@rgz

Как защитить сайт и сервер?

Добрый день, уважаемые участники.

Вчера заметил переходы со странного сайта - acunetix-referrer.com. Прочитал, что это сканер уязвимости сайтов.

Этот сервис создавал ссылки вида
sitename/?wvstest=javascript:domxssExecutionSink(1,%22%27\%22%3E%3Cxsstag%3E()locxss%22)


после чего, (а может быть в результате других атак ниже) стерлись некоторые статьи из базы данных. На сайте около 500 статей, из которых стерлись 5.

Как стерлись?
В БД некоторые строки удалились. (случайным образом. В некоторых статьях строка body (основной текст, в некоторых иконка и т.д.))

Далее, сегодня утром обнаружил такие записи в журнале:

PDOException: SQLSTATE[23000]: Integrity CONSTRAINT violation: 1062 Duplicate entry 'node-110-0-0-und' FOR KEY 'PRIMARY': INSERT INTO {field_data_field_fivestar} (entity_type, entity_id, revision_id, bundle, delta, LANGUAGE, field_fivestar_rating, field_fivestar_target) VALUES (:db_insert_placeholder_0, :db_insert_placeholder_1, :db_insert_placeholder_2, :db_insert_placeholder_3, :db_insert_placeholder_4, :db_insert_placeholder_5, :db_insert_placeholder_6, :db_insert_placeholder_7); Array ( [:db_insert_placeholder_0] => node [:db_insert_placeholder_1] => 110 [:db_insert_placeholder_2] => 110 [:db_insert_placeholder_3] => service [:db_insert_placeholder_4] => 0 [:db_insert_placeholder_5] => und [:db_insert_placeholder_6] => 20 [:db_insert_placeholder_7] => ) в функции field_sql_storage_field_storage_write() (строка 514 в файле /var/www/drupal/modules/FIELD/modules/field_sql_storage/field_sql_storage.module).

PDOException: SQLSTATE[HY000]: General error: 1366 Incorrect INTEGER VALUE: '-' FOR COLUMN 'field_fivestar_rating' at ROW 1: INSERT INTO {field_data_field_fivestar} (entity_type, entity_id, revision_id, bundle, delta, LANGUAGE, field_fivestar_rating, field_fivestar_target) VALUES (:db_insert_placeholder_0, :db_insert_placeholder_1, :db_insert_placeholder_2, :db_insert_placeholder_3, :db_insert_placeholder_4, :db_insert_placeholder_5, :db_insert_placeholder_6, :db_insert_placeholder_7); Array ( [:db_insert_placeholder_0] => node [:db_insert_placeholder_1] => 110 [:db_insert_placeholder_2] => 110 [:db_insert_placeholder_3] => service [:db_insert_placeholder_4] => 0 [:db_insert_placeholder_5] => und [:db_insert_placeholder_6] => - [:db_insert_placeholder_7] => ) в функции field_sql_storage_field_storage_write() (строка 514 в файле /var/www/drupal/modules/FIELD/modules/field_sql_storage/field_sql_storage.module).

судя по журналу, за две минуты было сделано около 800 таких попыток.
Атака шла с 6 утра до 10 вечера.
Так же сканировали сайт
  • worker-01.sfj.corp.censys.io
  • scan-13.shadowserver.org
  • scan-37.security.ipip.net
  • 196.52.43.119
Конфиг:
VPS
Processor: 1 vCore
RAM: 2 GiB
Storage: 10 GiB
apache+php7+mysql
Вопросы:
1. стоит ли блокировать опасных сканеров уязвимостей?
как здесь https://www.nuevolab.com/blog/archives/380
2. стоит ли в данном случае установить мод apache mod_security или он устарел?
3. как бы Вы поступили в этой ситуации? Какие средства защиты от различных атак: xss,sql inj,ddos итд актуальны в 2018?
Спасибо.
  • Вопрос задан
  • 344 просмотра
Пригласить эксперта
Ответы на вопрос 7
opium
@opium
Просто люблю качественно работать
Что делать
Исправлять свой говнокод
нужно ли блокировать? Смысла нет
Ответ написан
@mirzok
Information Security
1. Не стоит. Факт того, что ты закрылся от сканеров, не избавляет тебя от уязвимостей. Принцип Security through obscurity выходит, а его надо избегать в таких вопросах.
2. Стоит, но это не панацея. Вот инструкция по настройке.
3. Я бы проверил бы сам себя этими сканерами, чтобы увидеть отчёт о проблемах! И ручными инструментами, конечно же. Из того, что следует попробовать: Acunetix, METASCAN, Detectify. И не забудь CMS обновить!
Ответ написан
OnYourLips
@OnYourLips
1. Да, через WAF.
2. naxsi актуальнее.
3. WAF просто снижает вероятность, но не устраняет её.
Правильнее всего ограничивать права так, чтобы взлом одного из сайтов не влиял на другие.
Ответ написан
athacker
@athacker
Acunetix --это, конечно, сканер безопасности, но к этой ситуации он никакого отношения не имеет. Просто враги пытаются маскировать свою зловредную деятельность. Пума Тайланд прав -- надо патчить уязвимости (ну или как минимум обновить друпал).
Ответ написан
CityCat4
@CityCat4
Кошки не похожи на людей, кошки - это кошки!
1. Не стоит. Бесплатно просканили сайт на дыры. Да, с довольно жестким напоминанием, что бывает в таких случаях. И заодно с напоминанием про бэкапы :)
3. Я бы начал с обновления движка, потом анализа своего кода и внесения изменений...
Ответ написан
uroot
@uroot
Никто
3) Настройте правила в iptables (если на Linux), установите и настройте фаерволл (если на Windows)
Ответ написан
@rgz Автор вопроса
Движок обновлен до последней версии и всегда своевременно обновляется...
Ответ написан
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы